[Negator]

Всем привет.

Сеть - стандартная звезда.

Для понимания - см. приложенный файл.

 

Стоит сервер мониторинга, на нем крутятся nagios, zabbix, ntp и прочие самописные приблуды.

Естественно он регулярно опрашивает все коммутаторы в сети, как пингом так и snmp и т.д.

1000 - влан управления.

 

Коммутаторов в влане управления довольно много -около 600 штук.

 

Сегодня залез на микротик и запустил там torch в 1000 влане и слегка офигел.

Почему то я вижу кучу лишних пакетов, которые на микротик прилетать не должны.

Это пакеты предназначены для 10.40.4.10 -сервера мониторинга.

Само собой броадкасты прилетают, но кроме броадкастов я например на микротике вижу:

SNMP ответы от коммутаторов 10.40.4.197 предназначенные для сервера мониторинга, пинги от нижестоящих за ним свичей, ntp запросы предназначенные тому же мониторингу(от свича 10.40.4.55 как пример).

 

В общем вижу кучу всего что мне не предназначено.

 

И такого флуда в 1000 влане прилично, под 100 кбит с абсолютно разных коммутаторов.

Что это? Свичи перестали коммутировать?

Было бы понятно если бы на свичах была бы проблема с хеш-функцией, но вроде указанные модели ее не имеют, всего мак таблица на каждом конечном коммутаторе небольшая, в пределах 50 маков.

[zhenya`]

коллизии хэшей маков в управляющем влане..

[Negator]

слишком много трафика для коллизий.

Свичи в основном des 3526, а то и DGS 3627G, на них вроде нет проблемы с коллизиями.

На конечных свичах в районе 50 маков всего.

На картинке в цепочке всего 2 свича DGS 3420-26SC и 3627, там маков много, но это вроде аггрегаторы, а не дешевые 3028.

И вообще - коллизии - единичные проблемы, а я вижу постоянные запросы с разных свичей. Порядка 20-30 пакетов в секунду.

[GrandPr1de]

может просто торч включает promisc режим на интерфейсе, вот он и видит что и куда летит?

[Negator]

Посмотрите внимательно на схему. Данный трафик в принципе не должен долететь до микротика.

Как он увидит то, чего быть не должно?

Видимо где то свичи превращаются в хабы, осталось понять куда копать.

[xcme]

А если взять конкретный пакет и по таблице коммутации проследить его путь. Прилетает ли он оттуда, откуда ожидается?

 

За SNMP-трафик не скажу, но вот DHCP-пакеты можно в определенных ситуациях зациклить так (релей включен на магистралях), что пакеты начинают множиться и источник их проследить не удается.

[zhenya`]

А если взять конкретный пакет и по таблице коммутации проследить его путь. Прилетает ли он оттуда, откуда ожидается?

 

За SNMP-трафик не скажу, но вот DHCP-пакеты можно в определенных ситуациях зациклить так (релей включен на магистралях), что пакеты начинают множиться и источник их проследить не удается.

Сорс маки каждый раз.

[Negator]

А если взять конкретный пакет и по таблице коммутации проследить его путь. Прилетает ли он оттуда, откуда ожидается?

 

Попробую, хотя это бестолку.Схема на картинке реальная, хоть и неполная.

3420 стоит в серверной, 3627 воткнут в него прямым оптически линком.

Микротик стоит в другом конце сети, воткнут в тот же 3420 через пару коммутаторов.

И это конечное устройство. Туда только с одной стороны пакеты прилетают. Прилетать туда трафик из другого конца сети не должен(кроме броадкастов естесвенно, но это НЕ броадкаст - у пакетов определенный SRC и DST адреса).

но вот DHCP-пакеты можно в определенных ситуациях зациклить так (релей включен на магистралях), что пакеты начинают множиться и источник их проследить не удается.

релей выключен на магистралях. Про эту проблему знаю, она решена. Да и не так это проблема вовсе.

 

там все подряд и ntp и snmp и пинги вижу почему то..

[Negator]

Проблема решена, руки мои кривые.

Поправил маршруты на сервер мониторинга.

Прошу прощения.

[xcme]

Проблема решена, руки мои кривые.

Ну вот. В любом расследовании главное - не выйти на самих себя. :)